Sei lezioni sulla privacy - ComplianceNet€¦ · Marketing e comunicazioni commerciali: contiene...

http://www.compliancenet.it/ http://www.cmaconsulting.it/

Panfilo Marcelli

Sei lezioni sulla privacy corso di formazione per le aziende

con casi pratici ed esercitazioni

versione 1.117 gennaio 2009

(Introduzione eLezione 1)

Creative Commons Attribuzione - Non commerciale 2.5 Italia License http://creativecommons.org/licenses/by-nc/2.5/it/

Aggiornato alle “semplificazioni” del Garante del dicembre 2008 Aggiornato ai nuovi

adempimenti per le funzioni di

amministratore di sistema

http://creativecommons.org/licenses/by-nc/2.5/it/

http://www.cmaconsulting.it/

http://www.compliancenet.it/

Creative Commons Attribuzione - Non commerciale 2.5 Italia License http://creativecommons.org/licenses/by-nc/2.5/it/

Commons Deed

Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest'opera

• di modificare quest'opera

Alle seguenti condizioni:

• Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera.

• Non commerciale. Non puoi usare quest'opera per fini commerciali.

• Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza.

• In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da questa licenza ([email protected]).

• Questa licenza lascia impregiudicati i diritti morali.

Limitazione di responsabilitàLe utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra.Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.

1 http://creativecommons.org/licenses/by-nc/2.5/it/legalcode

http://creativecommons.org/licenses/by-nc/2.5/it/legalcode


mailto:[email protected]

http://creativecommons.org/licenses/by-nc/2.5/it/

http://creativecommons.org/worldwide/it/

Indice

IndiceINDICE.........................................................................................................................IINTRODUZIONE.......................................................................................................1

PERCORSI FORMATIVI.......................................................................................................2ORGANIZZAZIONE DEI CONTENUTI......................................................................................4IL SITO WEB COLLEGATO AL LIBRO.....................................................................................5RINGRAZIAMENTI............................................................................................................5LIMITAZIONE DI RESPONSABILITÀ.......................................................................................5PANFILO MARCELLI SI PRESENTA.......................................................................................6

LEZIONE 1 – INTRODUZIONE ALLA PRIVACY...............................................7UNITÀ DIDATTICA 1.1 – IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI............................15

Modulo 1.1.1 – Mini glossario.............................................................................16Modulo 1.1.2 – Sintesi delle norme sulla privacy................................................17Modulo 1.1.3 – Quadro normativo.......................................................................18

DOMANDE DI VERIFICA 1.1............................................................................................19UNITÀ DIDATTICA 1.2 – IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI......................21

Modulo 1.2.1 – L’ufficio del Garante...................................................................22Modulo 1.2.2 – Ispezioni del Garante .................................................................24Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della Guardia di Finanza.................................................................................................................25

DOMANDE DI VERIFICA 1.2............................................................................................26UNITÀ DIDATTICA 1.3 – LE PRINCIPALI NORME SULLA PRIVACY...........................................27

Modulo 1.3.1 – Codice in materia di protezione dei dati personali....................28Modulo 1.3.2 – Allegati al Codice ......................................................................31Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza ..............................................................................................................32Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione ..............................................................................................................................37Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” ...............................................................................................................39Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008...........41

DOMANDE DI VERIFICA 1.3............................................................................................43RISPOSTE ALLE DOMANDE DI VERIFICA..............................................................................44

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

I


Indice

Pagina lasciata intenzionalmente bianca


II


Introduzione

Introduzione

Questo testo è un corso di formazione sulle tematiche della privacy rivolto a coloro che lavorano in azienda. Come è noto il “Codice in materia di protezione dei dati personali” 2 prevede, tra gli obblighi di sicurezza, la programmazione di interventi formativi per “rendere edotti” gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle relative contromisure di sicurezza; è inoltre necessario che la pianificazione della formazione sia riportata nel Documento Programmatico sulla Sicurezza, se redatto.

Per rispondere anche a tali esigenze è stato realizzato questo corso che si articola in sei lezioni.

1. Introduzione alla privacy.2. Organizzazione aziendale per la privacy.3. Protezione dei dati personali.4. Diritto di accesso.5. Videosorveglianza.6. Marketing e comunicazioni commerciali.

Gli argomenti vengono proposti ed approfonditi attraverso casi pratici simulando di operare all’interno di una media impresa manifatturiera, la Arcobaleni1963 srl.

2 http://www.garanteprivacy.it/garante/doc.jsp?ID=13112483 http://www.arcobaleni196.it


1


http://www.arcobaleni196.it/


http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248


Introduzione

Percorsi formativi

È opportuno che la formazione sulla privacy non venga svolta in maniera indifferenziata per tutti gli incaricati ma che, viceversa, sia predisposta una “struttura formativa modulare” in relazione alle tipologie di incarico al trattamento dei dati personali.

Le sei lezioni del testo si rivolgono, dunque, ad interlocutori diversi, come di seguito specificato.

1. Introduzione alla privacy: illustra il quadro normativo della privacy sottolineando i principi di base e gli adempimenti di maggior rilievo; la lezione si rivolge a tutti gli incaricati dei trattamenti e a coloro che hanno necessità di una overview generale.

2. Organizzazione aziendale per la privacy: descrive le misure organizzative che occorre adottare, in azienda, per garantire il rispetto delle norme in ambito privacy; la lezione si rivolge ai dirigenti e quadri aziendali e a coloro che hanno responsabilità aziendali, anche non esclusive, in ambito privacy, controlli e sicurezza.

3. Protezione dei dati personali: approfondisce il tema delle misure di sicurezza, minime ed idonee, che devono essere applicate nel trattamento dei dati personali; la lezione si rivolge ai Responsabili privacy aziendale e a coloro che hanno responsabilità aziendali, anche non esclusive, in ambito privacy, controlli e sicurezza.

4. Diritto di accesso: contiene le linee guida per la corretta gestione, in azienda, dei diritti in relazione al trattamento dei dati personali; la lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed incaricati dei trattamenti degli uffici che si occupano di aspetti legali, contenzioso, reclami, customer satisfaction.

5. Videosorveglianza: contiene le indicazioni per la corretta gestione, in azienda, dei sistemi di videosorveglianza; la lezione si rivolge ai Responsabili privacy aziendali ed ai responsabili dei trattamenti di videosorveglianza.

6. Marketing e comunicazioni commerciali: contiene il quadro di riferimento per gli adempimenti privacy da rispettare nelle attività di commerciali; la lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed incaricati dei trattamenti di marketing, commerciale, vendite, comunicazione.


2


Introduzione

Le sei lezioni possono essere combinate secondo veri e propri “percorsi formativi” quali quelli di seguito proposti.

Corso per incaricati al trattamento dei dati personalilezione 1 Introduzione alla privacy

Corso per Direzionelezione 1 Introduzione alla privacylezione 2 Organizzazione aziendale per la privacy

Corso per Responsabile dei trattamenti lezione 1 Introduzione alla privacylezione 2 Organizzazione aziendale per la privacylezione 3 Protezione dei dati personalilezione 4 Diritto di accesso

Corso per Responsabile dei trattamenti con video sorveglianza

lezione 1 Introduzione alla privacylezione 2 Organizzazione aziendale per la privacylezione 3 Protezione dei dati personalilezione 4 Diritto di accessolezione 5 Videosorveglianza

Corso per Responsabile dei trattamenti di marketinglezione 1 Introduzione alla privacylezione 2 Organizzazione aziendale per la privacylezione 3 Protezione dei dati personalilezione 4 Diritto di accessolezione 6 Marketing e comunicazioni commerciali

È ovviamente possibile far svolgere a particolari classi di incaricati l’intero corso per dare una formazione ed informazione più ampia.


3


Introduzione

Organizzazione dei contenuti

Ogni lezione si compone di unità didattiche; ogni unità didattica è suddivisa in moduli.Lezioni, unità e moduli sono numerati così da facilitare sia i percorsi didattici sia il reperimento delle informazioni.Ogni lezione inizia con la descrizione di un “caso di studio” concreto che serve ad introdurre gli argomenti di seguito trattati.Dopo ogni unità didattica ci sono “domande di verifica” sugli argomenti trattati le cui soluzioni sono fornite in allegato al testo.

L1Introduzione alla privacy

U11 Il diritto

alla protezionedei dati personali

U12Il Garante per la

protezione dei datipersonali

….

CS1Arcobaleni196

e la privacy

M111La privacy

in Italia

M112Quadro

normativo

DV11Verifica

la tua comprensione

…

Lezioni

Unità Didattiche

Moduli

Domande di verifica

Caso di studio


4


Introduzione

Il sito web collegato al libro

Questo testo viene diffuso attraverso i siti ComplianceNet4 e CMa Consulting5. Al corso è inoltre collegato il sito Arcobaleni1966 dal nome (fittizio) della società che è protagonista dei nostri casi di studio ed esercitazioni.

RingraziamentiSi ringrazia ComplianceNet e CMa Consulting per l’aiuto e l’assistenza nella redazione di questo corso; in particolare:

• Cristina Cellucci per l’entusiasmo che mette in tutte le sue iniziative (questo corso non avrebbe visto luce senza il suo aiuto); Cristina può essere contattata al seguente indirizzo email: [email protected]

• Manlio Torquato per la revisione, correzione, puntualizzazione dei contenuti del testo (questo corso ha rischiato, per colpa sua, più di una volta di non vedere la luce...); Manlio può essere contattato al seguente indirizzo email: [email protected]

Limitazione di responsabilitàComplianceNet, CMA Consulting, Panfilo Marcelli, Cristina Cellucci, Manlio Torquato e tutti coloro che hanno contribuito a tale documento non forniscono nessuna assicurazione né garanzia che l’uso di questo documento, delle relative linee guida, dei suggerimenti, delle check list e degli strumenti indicati in questa pubblicazione possano garantire di per sé la conformità alle norme.

4 http://www.compliancenet.it/5 http://www.cmaconsulting.it/ 6 http://www.arcobaleni196.it


5










Introduzione

Panfilo Marcelli si presenta

Mi sono laureato in Ingegneria all’Università de

l’Aquila. Ho lavorato per oltre vent’anni presso

primarie aziende informatiche e di consulenza (IPACRI,

Euros Consulting, OASI) con incarichi, anche direttivi,

in ambito Information Technology, Privacy e

Protezione dei dati personali, Qualità e Certificazione

ISO9000 e ISO27001, Workflow Management e

Business Process Reengineering, Internet, Intranet e

gestione di siti con sistemi CMS. Attualmente sono

partner di CMa Consulting7 società specializzata in

servizi, consulenza e formazione in ambito Compliance,

Privacy, Qualità e Sicurezza. Se volete contattarmi la

mia email è [email protected]

7 http://www.cmaconsulting.it/


6





Lezione 1 – Introduzione alla privacy


Caso di studio a – Arcobaleni196 e la privacyUnità Didattica 1 - Il diritto alla protezione dei dati personaliUnità Didattica 2 - Il Garante per la protezione dei dati personaliUnità Didattica 3 - Le principali norme sulla privacyRisposte alle domande di verifica


7



Obiettivi di apprendimento

• Cos’è la Privacy?• Quale sono le norme più importanti in ambito privacy?• Cos’è il Garante per la protezione dei dati personali e che poteri ha?• Cosa sono i provvedimenti del Garante?

A chi si rivolge questa lezione?A tutti gli incaricati.

Percorsi formativi• Corso per incaricati al trattamento dei dati personali.• Corso per Direzione.• Corso per Responsabile dei trattamenti. • Corso per Responsabile dei trattamenti con video sorveglianza.• Corso per Responsabile dei trattamenti di marketing.

Concetti chiave:• Codice in materia di protezione dei dati personali.• Allegati al Codice.• Ufficio del Garante.


8


Lezione 1 – Caso di studio a

Lezione 1 – Caso di studio a –

Arcobaleni196 e la privacy


9



Le lezioni di questo corso sono basate su una serie di casi di studio concreti. Simuleremo di trovarci presso Arcobaleni196 srl8 una società che produce e commercializza vernici speciali per la carrozzeria di veicoli. Sono stato convocato dal cavalier Pinco Arcobaleni, fondatore e Direttore Generale dell’azienda. “Ho bisogno di una consulenza sulla privacy” mi ha detto telefonicamente. E così vado a trovarlo.

Primo incontro con il cavalier

Arcobaleni

“Voglio mettere telecamere ovunque!” ha esordito il cavalier Arcobaleni non appena mi sono accomodato nel suo ufficio.

“Come mai?” ho chiesto cercando di rimanere imperturbabile.

“Ieri è stato rubato un altro computer portatile! È il terzo dall’inizio dell’anno adesso basta! Voglio sapere chi è che ruba in azienda. Inoltre il mese scorso, nonostante il divieto di fumo in tutti gli uffici, qualcuno ha acceso una sigaretta in uno dei bagni facendo suonare l’allarme antincendio.”

“Le telecamere non sono vietate di per sé” gli ho spiegato “ma la legge sulla privacy impone di seguire delle regole.”

“Regole, sempre regole! In Italia è diventato impossibile condurre un’azienda” ha sbuffato Arcobaleni “l’ho chiamata proprio per questo, caro ingegnere. Il mio assistente, dottor Marroni, ha letto su Internet i suoi articoli9 sulla privacy e ha consigliato di avere un suo parere prima di installare le telecamere. Ma mi dica subito: cosa c’entra la legge sulla privacy con le telecamere? Posso installarle sì o no?”

8 http://www.arcobaleni196.it/9 http://www.compliancenet.it/category/compliancenet/privacy


10


http://www.compliancenet.it/category/compliancenet/privacy

http://www.compliancenet.it/category/compliancenet/privacy




“In Italia esistono norme precise, ed in alcuni casi anche severe, sui trattamenti di dati personali. Le riprese effettuate con sistemi di videosorveglianza sono considerati trattamenti di dati personali. Dal primo gennaio 2004 l’intera materia è stata riordinata e precisata dal Codice in materia di protezione dei dati personali” ho spiegato.

“Le dico subito che in azienda non trattiamo dati personali!” mi ha interrotto con un sorriso trionfante Arcobaleni.

“Come fa ad esserne così sicuro?” gli ho chiesto non poco sorpreso.

“Legga qua” mi dice il cavaliere allungandomi un foglio.

Comunicazione del Direttore Generale del 15 settembre 2008

Si comunica a tutto il personale che a far data da oggi è vietato il trattamento di qualsiasi dato personale in azienda.

FirmatoPinco ArcobaleniDirettore Generale

Sono sempre più preoccupato.

“Perché ha scritto questa comunicazione?” gli chiedo.

“Me lo ha consigliato la dottoressa Rossetti. Mi ha detto che nel giugno 2008 è stato abrogato l’obbligo delle misure di sicurezza per le aziende che non trattano dati sensibili.”


11



“Nessuno ha abrogato l’obbligo di adottare le misure di sicurezza” chiarisco “il Decreto Legge 25 giugno 2008 n.112 10 del giugno 2008, poi tradotto in un provvedimento11 del Garante nel dicembre 2008, ha semplicemente abrogato l’obbligo della redazione del Documento Programmatico sulla sicurezza per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi”.

“Mi scusi mi sono espresso male. Intendevo dire che non trattiamo dati sensibili! Sa con tutte queste definizioni … Adesso però dovrò rifare la comunicazione a tutto il personale… Non è che mi darebbe una mano? Avrei bisogno che qualcuno mi chiarisse un po’ meglio le idee sulla privacy. Ma mi dica subito: posso installare o no le telecamere?”

“Solo se segue le indicazioni del Garante.”

“Mi può riepilogare quali sono queste indicazioni?”

“Certamente cavaliere. Ma il mio consiglio è di fare un po’ di ordine sia sulle norme sia sugli adempimenti privacy. Temo che ci siano numerosi obblighi che avete sottovalutato. Le posso fare una proposta? Convochi i suoi principali collaboratori ed in un paio d’ore le farò un quadro completo della normativa e di quello che serve per fare il censimento dei trattamenti.”

“Ingegnere, sarò franco: fino ad oggi non ci siamo curati di questi aspetti e non abbiamo mai avuto problemi… Non siamo una grande azienda che può spendere migliaia di euro su questi temi. Io la ringrazio per essere venuto a trovarmi ma vorrei essere onesto con lei: ho altre priorità!”

“Tocca a lei decidere, cavaliere. Le ricordo però che le sanzioni previste per il mancato rispetto delle norme sulla privacy sono sia penali sia amministrative.”

“Ohibò, si rischia il carcere?”

“Le sanzioni penali possono comportare anche pene detentive oltre che pecuniarie. Le sanzioni amministrative possono essere pecuniarie o a fronte di gravi irregolarità arrivare anche al blocco del trattamento dei dati.”

“Che significa?”

“Significa che Arcobaleni196 non potrebbe più operare e sarebbe costretta a chiudere… Cavaliere si fidi di me! Facciamo così: mi accordi due ore con i suoi collaboratori più stretti. E poi decida lei se andare avanti con il mio aiuto o continuare a fare tutto da solo.”

10 http://www.camera.it/parlam/leggi/decreti/08112d.htm 11 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218


12



http://www.camera.it/parlam/leggi/decreti/08112d.htm





Sanzioni per gli adempimenti privacy prima degli inasprimenti introdotti con il D.L. n. 207 del 30 dicembre 2008 (articolo 4412)

Sanzioni amministrative

Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00

Omessa o inidonea informativa (dati sensibili, giudiziari, trattamenti che presentano rischi specifici) Da € 5.000,00 a € 30.000,00

Cessione illecita di dati Da € 5.000,00 a € 30.000,00

Violazione relativa ai dati personali idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00

Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00

Omessa informazione o esibizione al Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00

Illeciti penaliTrattamento illecito di dati Reclusione da 6 a 24 mesi

Trattamento illecito di dati (dati sensibili, giudiziari, trattamenti che presentano rischi specifici) Reclusione da 1 a 3 anniFalsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi a 3 anni

Omessa adozione delle misure minime di sicurezza

Arresto fino a 2 anni Sanzione pecuniaria da € 10.000,00 a €50.000,00

Violazione da parte dei datori di lavoro del divieto di Effettuare indagini su opinioni politiche, Controllo attraverso luso di impianti audiovisivi, o altre apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno

L’articolo 44 del D.L. 30.12.2008 n. 207 ha inasprito le sanzioni previste dal

“Codice in materia di protezione dei dati personali”.

Il trattamento di dati personali in violazione delle misure di sicurezza, oltre

ad essere punito con l’arresto sino a due anni, viene punito con una sanzione

amministrativa da 20.000 a 120.000 euro; vengono inoltre previsti casi di

minore e maggiore gravità, rispettivamente con diminuzione ed

aumento delle sanzioni.

“Okay ingegnere. Faccio venire immediatamente i miei principali collaboratori: Carmela Rossetti della qualità e controlli, Giuseppina Nerucci delle risorse umane, Ercole Marroni della produzione, Mariuccia Nerini della Contabilità.”

12 http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0232&tmstp=1232193077977


13


http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0232&tmstp=1232193077977





Introduzione alla privacy

(Alcuni minuti dopo: presenti tutti i collaboratori.)

“Bene. Vi farò una breve introduzione alla privacy affrontando tre argomenti:

1. Il diritto alla protezione dei dati personali2. Il Garante per la protezione dei dati personali3. Le principali norme sulla privacy”

Inizia il corso…


14


Lezione 1 – Unità didattica 1.1

Lezione 1 – Unità didattica 1.1 – Il diritto

alla protezione dei dati personali

Modulo 1.1.1 – Mini glossario

Modulo 1.1.2 – Sintesi delle norme sulla privacy

Modulo 1.1.3 – Quadro normativo

Domande di verifica 1.1


15



Modulo 1.1.1 – Mini glossarioTratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo Garante sei tu”13.

Dato personale: qualunque informazione relativa ad un individuo, ad una persona giuridica, ad un ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale.

Dato sensibile: qualunque dato che può rivelare l’origine razziale, l’appartenenza etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti o sindacati, lo stato di salute e la vita sessuale.

Trattamento dei dati personali: qualunque operazione o complesso di operazioni, effettuate anche senza mezzi elettronici o automatizzati (raccolta, registrazione, organizzazione, conservazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione).

Titolare del trattamento: la pubblica amministrazione, la persona giuridica o fisica cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali.

Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati.

Informativa: contiene le informazioni che il titolare del trattamento deve fornire all’interessato per chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla legge.

Consenso: la libera manifestazione della volontà con la quale l’interessato accetta – in modo espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.

Il Garante: un’Autorità indipendente composta da quattro membri eletti dal Parlamento. È stata istituita per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone rispetto al trattamento dei dati personali. Controlla se il trattamento di dati personali da parte di privati e pubbliche amministrazioni è lecito e corretto. Esamina reclami, segnalazioni e ricorsi, svolge accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche necessarie od opportune per far adeguare i trattamenti alla disciplina vigente. Segnala al Parlamento e al Governo l’opportunità di interventi normativi per tutelare gli interessati. Esprime pareri su regolamenti e atti amministrativi di alcune amministrazioni pubbliche. Presenta al Parlamento e al Governo una relazione annuale sullo stato di attuazione della normativa che regola la materia.

13 http://www.garanteprivacy.it/garante/document?ID=1382763


16


http://www.garanteprivacy.it/garante/document?ID=1382763




Modulo 1.1.2 – Sintesi delle norme sulla privacy

Dal 1996 in Italia vige il “diritto alla protezione dei dati personali” a cui comunemente ci si riferisce come “Legge sulla Privacy”: infatti il 31 dicembre 1996 è entrata in vigore la legge n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. Nel 2003 tale legge è stata abrogata e sostituita dal decreto legislativo 196/03 noto come “Codice in materia di protezione dei dati personali” 14 entrato in vigore il primo gennaio 2004. Il primo articolo del Codice chiarisce cosa si intende per privacy nell’ordinamento italiano; recita infatti tale articolo: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Tale protezione consiste nella garanzia che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale ed al diritto alla protezione dei dati personali.Va chiarito che lo spirito della legge non è di impedire il trattamento dei dati personali ma di evitare che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Il Codice, in pratica, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni. Nel 1997 è stato costituito il “Garante per la protezione dei dati personali”, un organo collegiale composto da quattro membri eletto dal Parlamento che ha il compito di vigilare sul rispetto delle norme sulla privacy. Alle dipendenze del Garante è posto un Ufficio con un organico di circa 100 unità. Il Garante ha sintetizzato15 i contenuti delle norme sulla privacy come segue.

• I dati personali sono una proiezione della persona. La legge tutela la riservatezza, l’identità personale, la dignità e gli altri nostri diritti e libertà fondamentali.

• Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla legge.• La prima garanzia è la trasparenza. Ognuno di noi ha il diritto di “sapere”. Il diritto di

conoscere se un soggetto detiene informazioni, di apprenderne il contenuto, di farle rettificare se erronee, incomplete o non aggiornate.

• Conoscere i nostri diritti e il modo per farli valere è semplice.

14 http://www.garanteprivacy.it/garante/doc.jsp?ID=131124815 Brochure “La tutela dei dati personali: il primo Garante sei tu” http://www.garanteprivacy.it/garante/document?ID=1382763


17









Modulo 1.1.3 – Quadro normativoIl “Codice in materia di protezione dei dati personali” 16 è il testo principale di riferimento per la privacy. Si tratta di una sorta di “testo unico” che a far data dal primo gennaio 2004 sostituisce,

integra ed accorpa tutte le precedenti normative in materia (in particolare sostituisce la legge 675/96). Il Codice contiene le definizioni ed i principi di riferimento. Le misure pratiche per adempiere ai principi sono contenute negli allegati; tra questi uno dei più importanti è l’allegato B sulle misure minime di sicurezza.Infine occorre tener presente i diversi provvedimenti17, con valore di legge, che il Garante ha emanato.Periodicamente il Garante pubblica anche linee guida e modelli di riferimento per il rispetto degli adempimenti. Mentre il Codice, gli allegati al codice ed i provvedimenti hanno valore di legge e sono dunque obbligatori le linee guida ed i modelli sono opzionali.Tutti i testi di legge sono disponibili sul sito del Garante18.

16 http://www.garanteprivacy.it/garante/doc.jsp?ID=131124817 http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti 18 http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali


Codice

Allegati

Provvedimenti

Linee guidaModelli

Obblighi normativi

Best practices

18


http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali

http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali

http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti

http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti





Domande di verifica 1.1Domanda Prima risposta Seconda risposta Terza rispostaIl Codice in materia di protezione dei dati personali è in vigore dal primo gennaio 2001.

Falso, il Codice in materia di protezione dei dati personali è in vigore dal primo gennaio 2004 e sostituisce la precedente legge n.675 del 1996.

Falso. Dal 2001 è in vigore la legge n.675 sulla privacy poi abrogata dal Codice nel 2003.

Vero. Il primo gennaio 2001 è entrato il vigore il nuovo Codice che ha abrogato la legge n.675 sulla privacy.

Quando è stata abrogata la legge sulla privacy del 1996?

Non è stata abrogata. Dal 2003 è stata integrata dal Codice in materia di protezione dei dati personali.

Non è stata abrogata. È ancora in vigore.

Nel 2004 dal Codice in materia di protezione dei dati personali.

La legge sulla privacy riguarda solo le persone fisiche e non le aziende.

Vero. Le aziende però possono appellarsi al Garante per la protezione dei dati personali.

Vero. Le aziende fanno riferimento ad altre norme.

Falso. Le norme sulla privacy si applicano sia a persone fisiche che ad aziende.


19



Pagina lasciata intenzionalmente bianca


20



Lezione 1 – Unità didattica 1.2 – Il

Garante per la protezione dei dati personali

Modulo 1.2.1 – L’Ufficio del Garante

Modulo 1.2.2 – Ispezioni del Garante

Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della Guardia di Finanza



21



Modulo 1.2.1 – L’ufficio del Garante

Il Garante per la protezione dei dati personali è un’autorità indipendente, istituita dalla legge sulla privacy del 31 dicembre 1996 per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. Si tratta di un organo

collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di quattro anni rinnovabile una volta sola. Il Codice del 200319 ha confermato ruoli e compiti di tale authority.

L’attuale collegio20 si è insediato il 18 aprile 2005 ed è così composto:

Presidente

Francesco PizzettiVicepresidente

Giuseppe ChiaravallotiComponenti

Mauro Paissan

Giuseppe Fortunato

Fonte immagini21

19 http://www.garanteprivacy.it/garante/doc.jsp?ID=131124820 Alla data del 17 gennaio 200921 http://www.garanteprivacy.it/garante/doc.jsp?ID=1116178


22











Il primo Presidente dell’Ufficio del Garante è stato il professor Stefano Rodotà22

considerato il “padre” fondatore della legge.Rodotà è stato “Garante” della privacy dal 2000 al 2004.

Fonte immagine23

Il Segretario generale dell’Ufficio del Garante è, dalla sua fondazione, Giovanni Buttarelli24 che il 23 dicembre 2008 è stato nominato Garante europeo aggiunto dei dati personali25 (EDPS).

Fonte immagine26

I principali compiti del Garante sono:• controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la

segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità;

• esame delle segnalazioni, dei ricorsi e dei reclami degli interessati;• adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le

autorizzazioni generali per il trattamento dei dati sensibili;• promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di

deontologia e di buona condotta;• divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la

loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l’interessato.

Per rivolgersi al Garante ci si può recare presso l’Autorità, Ufficio per le relazioni con il pubblico, Piazza di Monte Citorio, 123, Lunedì - Venerdì ore 10.00 - 13.00, e-mail: [email protected]

Immagine tratta da Google Maps27

22 http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A023 http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it24 http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 25 http://europa.eu/institutions/others/edps/index_it.htm 26 http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 27 http://maps.google.it/


23


http://maps.google.it/

http://maps.google.it/




http://europa.eu/institutions/others/edps/index_it.htm








http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it

http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it

http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0

http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0


Modulo 1.2.2 – Ispezioni del Garante

Ogni anno, attraverso il proprio sito web e la sua newsletter28, il Garante rende noto il piano ispettivo previsto per i successivi mesi. Nella newsletter del 7 aprile 200829 il Garante ha comunicato che nel corso dei rimanenti mesi del 2008, nell'ambito dell'attività ispettiva programmata, una particolare attenzione sarebbe stata posta ai sistemi di videosorveglianza e che sarebbero state effettuate ispezioni su tutto il territorio nazionale sia per verificare il rispetto delle regole fissate dal Garante con il provvedimento del 2004 sull'uso delle telecamere, sia per poter disporre di un quadro aggiornato sull'attuale impiego dei sistemi di videosorveglianza da parte di soggetti pubblici e privati.Altri controlli, ha annunciato il Garante, avrebbero riguardato il rispetto dell'obbligo dell'informativa da fornire agli interessati al momento della raccolta dei dati personali, la libertà e validità del consenso, la durata della conservazione dei dati; infine sarebbero state effettuate verifiche sull'adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili.Ovviamente, oltre agli accertamenti previsti nel programma varato, l'Ufficio del Garante svolge anche le ordinarie ulteriori attività istruttorie di carattere ispettivo relative a segnalazioni, reclami e ricorsi presentati all'Autorità.

28 http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter29 http://www.garanteprivacy.it/garante/doc.jsp?ID=1504209


24




http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter

http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter


Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della Guardia di

FinanzaPer le attività ispettive il Garante si avvale di un reparto speciale della Guardia di Finanza noto “Nucleo Speciale Funzione Pubblica e Privacy30” che collabora all'attività ispettiva attraverso:

• il reperimento di dati ed informazioni sui soggetti da controllare;• l'assistenza nei rapporti con le Autorità Giudiziarie;• la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle

altre rilevazioni nei luoghi ove si svolge il trattamento;• lo sviluppo delle attività delegate o sub-delegate per l'accertamento delle violazioni di natura

penale o amministrativa;• la contestazione delle sanzioni amministrative rilevate nell'ambito delle

attività delegate;• l'esecuzione di indagini conoscitive sullo stato di attuazione della citata

Legge in settori specifici;• la segnalazione all'Autorità di tutte le situazioni rilevanti ai fini

dell'applicazione del Codice, di cui venga a conoscenza nel corso dell'esecuzione delle ordinarie attività di servizio.

Fonte immagine31

30 http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale=31 http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html


25


http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html

http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html

http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale=

http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale


Domande di verifica 1.2Domanda Prima risposta Seconda risposta Terza rispostaL’Autorità Garante per la protezione dei dati personali non ha reali poteri ma può semplicemente “consigliare” i comportamenti corretti.

Vero.Il garante può solo effettuare una “moral suasion”.

Falso. Pur non avendo reali poteri può richiedere l’intervento della magistratura o delle forze di polizia per imporre i propri provvedimenti.

Falso.Il Garante può infliggere sanzioni ed imporre le proprie decisioni fino al blocco dei trattamenti.

La nomina dei componenti dell’Autorità Garante per la privacy è di tipo “politica”.

Falso.I membri dell’autorità sono nominati dai rappresentanti delle associazioni di categoria.

Vero. I membri dell’autorità sono nominati dal Governo.

Vero.I membri dell’autorità sono nominati dal Parlamento.

I cittadini, e le imprese, possono appellarsi direttamente al garante per far valere i propri diritti.

Vero. Solo però dopo aver fatto prima ricorso attraverso la magistratura.

Vero.Sul sito del Garante sono disponibili anche suggerimenti e modelli per esercitare tale diritto.

Falso.Occorre fare ricorso alla magistratura per far valere i propri diritti in ambito privacy.

Tra gli incarichi del Garante vi sono le ispezioni nelle aziende per valutare il rispetto degli adempimenti di legge.

Vero. Ogni anno il Garante presenta pubblicamente il piano delle ispezioni previste.

Vero.Il Garante può fare ispezioni solo in seguito a denunce o ricorsi da parte di cittadini o imprese.

Falso. Solo le forse di polizia possono fare ispezioni nelle aziende.


26



Lezione 1 – Unità didattica 1.3 – Le

principali norme sulla privacy

Modulo 1.3.1 – Codice in materia di protezione dei dati personali

Modulo 1.3.2 – Allegati al Codice

Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza

Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione

Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema”

Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008



27



Modulo 1.3.1 – Codice in materia di protezione dei dati personali

Il primo gennaio 2004 è entrato in vigore il “Codice in materia di protezione dei dati personali32” che ha abrogato e sostituito la precedente legge n. 675/96 sulla privacy e successive modifiche.Il Codice è diviso in tre parti:

1. disposizioni generali;2. disposizioni relative a specifici settori;3. norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione

dei dati personali.

Diritti fondamentaliL’articolo 1 spiega chiaramente lo spirito della norma: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”.L’articolo 2 recita che il Codice “garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.

Trattamenti e datiLe disposizioni del Codice si applicano al trattamento di dati personali cioè a “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti:

• la raccolta, • la registrazione,• l’organizzazione,• la conservazione,• la consultazione,• l’elaborazione, • la modificazione,• la selezione,• l’estrazione, • il raffronto, • l’utilizzo,• l’interconnessione,• il blocco,• la comunicazione, • la diffusione, • la cancellazione,• la distruzione di dati

anche se non registrati in una banca di dati”. 32 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248


28





L’articolo 4 definisce i dati personali come “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.I dati personali si dividono in:

• dati identificativi, ossia “dati personali che permettono l’identificazione diretta dell'interessato”;

• dati sensibili,ossia “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

I soggetti che effettuano il trattamentoGli obblighi in materia di Privacy sono a carico del “titolare del trattamento” cioè di norma la persona fisica (si pensi all’imprenditore individuale) o giuridica (ad esempio, la società) che tratta i dati personali (con la raccolta, la registrazione, la comunicazione o la diffusione). Il “responsabile del trattamento” (ma possono essere più d’uno) è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). La nomina del responsabile è utile o in presenza di imprese con organizzazione articolata (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del personale o del settore marketing) o rispetto a soggetti esterni all’impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di recupero crediti, etc.).Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte (art. 30 del Codice); in pratica sono i dipendenti o collaboratori dell'azienda. Il "titolare del trattamento" è tenuto a designarli cioè a nominarli per iscritto incaricati specificando quali dati può trattare. In pratica è sufficiente "assegnare un dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento. Così, in un’azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una previsione scritta (ad es. nell’organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità".

PrincipiIl Codice fissa alcuni principi generali che devono esser seguiti nel trattamento di dati personali; in particolare:

• in applicazione del principio di necessità (articolo 3), i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi;


29



• nel rispetto del principio di proporzionalità nel trattamento (articolo 11, comma 1, lett. d), tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite;

• il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il Codice prevede espressamente per gli organi pubblici da un lato (svolgimento di funzioni istituzionali: articoli 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici (adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di interessi” o consenso libero ed espresso: articoli 23-27);

• le finalità perseguite dal trattamento devono essere determinati, espliciti e legittimi (articolo 11, comma 1, lett. b); ciò comporta che il titolare possa perseguire solo finalità di sua pertinenza.

Diritti degli interessatiLa disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice.

Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).

In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).

L’inversione dell’onere della provaL’articolo 15 del Codice recita “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, il quale a sua volta dispone che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. Nella pratica, l’art. 2050 del Codice Civile obbliga, in caso di contenzioso, il titolare a dimostrare di aver adottato tutte le misure idonee ad evitare il possibile danno.

Sanzioni Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali. Le sanzioni di carattere amministrativo sono causate da:

• omessa o inidonea informativa all’interessato (articolo 161);• illecita cessione di dati personali (articolo 162);• omessa o incompleta notificazione (articolo 163);• omessa informazione o esibizione al Garante (articolo 164).

Gli illeciti penali sono causati da:• trattamento illecito di dati (articolo 167);• falsità nelle dichiarazioni e notificazioni al Garante (articolo 168);• omissione delle misure minime di sicurezza (articolo 169);• inosservanza di provvedimenti del Garante (articolo 170).


30



Modulo 1.3.2 – Allegati al Codice

Gli allegati sono:• Allegato A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali

effettuati per svolgere investigazioni difensive33

• Allegato A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti34

• Allegato A.4. Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici35

• Allegato A.1. Codice di deontologia - Trattamento dei dati personali nell'esercizio dell'attività giornalistica36

• Allegato A.2 . Codici di deontologia - Trattamento dei dati personali per scopi storici37 • Allegato A.3 . Codice di deontologia - Trattamento dei dati personali a scopi statistici in

ambito Sistan38 • Allegato B . Disciplinare tecnico in materia di misure minime di sicurezza39 • Allegato C . Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia40

33 http://www.garanteprivacy.it/garante/doc.jsp?ID=1565171 34 http://www.garanteprivacy.it/garante/doc.jsp?ID=155669335 http://www.garanteprivacy.it/garante/doc.jsp?ID=155663536 http://www.garanteprivacy.it/garante/doc.jsp?ID=155638637 http://www.garanteprivacy.it/garante/doc.jsp?ID=155641938 http://www.garanteprivacy.it/garante/doc.jsp?ID=155657339 http://www.garanteprivacy.it/garante/doc.jsp?ID=155718440 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557209


31



















Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di

sicurezza

Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B41) specifica le modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamenti di dati con strumenti elettronici o senza strumenti elettronici. Tali modalità vanno “lette” a partire da quanto indicato negli articoli da 33 a 36 del Codice in materia di protezione dei dati personali” 42 relative alla cosiddette “Misure minime di sicurezza” che indicano che “nel quadro dei più generali obblighi di sicurezza” i titolari del trattamento sono comunque tenuti ad adottare le misure minime di seguito indicate (suddivise tra misure da adottare per i trattamenti effettuati con strumenti elettronici e misure da adottare per trattamenti effettuati senza strumenti elettronici).

Trattamenti con strumenti elettronici (articolo 34 del Codice)

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai

singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad

accessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità

dei dati e dei sistemi;g) tenuta di un aggiornato documento programmatico sulla sicurezza;h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati

idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Con le semplificazioni adottate nel dicembre 2008 è stato aggiunto all’articolo 34 il comma 1-bis di seguito riportato.

Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di

41 http://www.garanteprivacy.it/garante/doc.jsp?ID=155718442 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248


32








autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1.

Trattamenti senza l'ausilio di strumenti elettronici (articolo 35 del Codice)

Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

Allegato B Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B43) specifica le modalità con cui attuare le misure minime di sicurezza indicate nel Codice.

Sistema di autenticazione informatica1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di

credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.

4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.

5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

43 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184


33





6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è

utilizzato un sistema di autorizzazione.13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono

individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione

dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.


34



Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari44 redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1.l'elenco dei trattamenti di dati personali;19.2.la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte

al trattamento dei dati;19.3.l'analisi dei rischi che incombono sui dati;19.4.le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la

protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;19.5.la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in

seguito a distruzione o danneggiamento di cui al successivo punto 23;19.6.la previsione di interventi formativi degli incaricati del trattamento, per renderli

edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7.la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;

19.8.per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del

codice penale, mediante l'utilizzo di idonei strumenti elettronici.21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti

rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di

44 Con le semplificazioni adottate nel dicembre 2008 per i titolari che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione


35



dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

Misure di tutela e garanzia25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria

struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Trattamenti senza l'ausilio di strumenti elettroniciModalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici:

27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.


36



Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione

Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto45 un provvedimento46 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa, interessano:

• amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali;

• piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.

Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni, volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a contenere i costi.

In base al provvedimento del Garante, le categorie interessate:

• possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;• possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di

autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione);

• in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile);

• devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese.

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici.Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare

45 http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203 46 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218


37







all'Autorità quando si avvia un trattamento di particolari tipi di dati (genetici, biometrici, procreazione assistita, ecc.).Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante, mentre quello sulla notificazione sarà operativo entro 60 giorni dalla pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto.


38



Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema”

Sulla Gazzetta Ufficiale n. 300 del 24 dicembre 2008 47 è stato pubblicato il testo del provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali dal titolo “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”48. Il Garante ha rilevata l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei cosiddetti “amministratori di sistema” nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati, evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella "Società dell'informazione" e dei rischi a esse associati.Di conseguenza il Garante impone nuovi adempimenti ai titolari di trattamenti effettuati (anche parzialmente) con strumenti elettronici. I nuovi adempimenti non riguardano i titolari destinatari delle recenti “semplificazioni” sugli obblighi privacy.

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici

1. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.

2. Designazioni individuali. La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

3. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi

47 http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-24&task=dettaglio&numgu=300&redaz=08A09816&tmstp=1230659946972 48 http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831


39




http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-24&task=dettaglio&numgu=300&redaz=08A09816&tmstp=1230659946972





servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4. Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

5. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

6. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti (…) dovranno essere introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.


40



Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008

Con l’articolo 4449 del D.L. 30.12.2008 n. 207 sono state inasprite le sanzioni previste dal “Codice in materia di protezione dei dati personali”50. In particolare il trattamento in violazione delle misure di sicurezza, oltre ad essere punito con l’arresto sino a due anni, viene punito con una sanzione amministrativa da 20.000 a 120.000 euro; vengono inoltre previsti casi di minore e maggiore gravità, rispettivamente con diminuzione ed aumento delle sanzioni.

Le sanzioni prima del D.L. 30.12.2008 n. 207

Sanzioni amministrative

Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00

Omessa o inidonea informativa (dati sensibili, giudiziari, trattamenti che presentano rischi specifici) Da € 5.000,00 a € 30.000,00

Cessione illecita di dati Da € 5.000,00 a € 30.000,00

Violazione relativa ai dati personali idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00

Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00

Omessa informazione o esibizione al Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00

Illeciti penaliTrattamento illecito di dati Reclusione da 6 a 24 mesi

Trattamento illecito di dati (dati sensibili, giudiziari, trattamenti che presentano rischi specifici) Reclusione da 1 a 3 anniFalsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi a 3 anni

Omessa adozione delle misure minime di sicurezza

Arresto fino a 2 anni Sanzione pecuniaria da € 10.000,00 a €50.000,00

Violazione da parte dei datori di lavoro del divieto di Effettuare indagini su opinioni politiche, Controllo attraverso luso di impianti audiovisivi, o altre apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno

Gli inasprimenti delle sanzioni già previste

Sanzioni amministrative Prima del DL 207/2008 DOPO il DL 207/2008Omessa od inidonea informativa all’interessato Da 3.000 a 18.000 euro Da 6.000 a 36.000 euroCessione illecita dei dati Da 5.000 a 30.000 euro Da 10.000 a 60.000 euroViolazioni relative ai dati personali idonei a rivelare lo stato di salute

Da 500 a 3.000 euro Da 1.000 a 6.000 euro

Omessa o incompleta notificazione Da 10.000 a 60.000 euro Da 20.000 a 120.000 euroOmessa informazione o esibizione di documenti al Garante Da 4.000 a 24.000 euro Da 10.000 a 60.000 euro

49 http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0232&tmstp=1232193077977 50 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248


41










Le nuove sanzioni

Nuovo comma 2 bis all’articolo 162 In caso di “trattamento di dati in violazione delle misure di sicurezza (misure di cui all’art. 33 e dell’allegato B al Dlgs. 196/2003 incluso il DPS)” si applica in sede amministrativa in ogni caso la

sanzione da 20.000 a 120.000 euro. L’articolo 169 prevede inoltre l’arresto sino a due anni ‐ nel

caso di regolarizzazione delle omissioni nei 60 giorni successivi l’autore della violazione è ammesso a definire la violazione con il pagamento del quarto del massimo; l’adempimento ed il pagamento estinguono il reato.

Introduzione dell’articolo 164 bis c. 1

(Casi di minore gravità) Se taluna delle violazioni di cui agli articoli 161‐162‐163‐164 è di minore

gravità avuto riguardo anche alla natura economica e sociale dell’attività svolta i limiti minimi e massimi delle sanzioni sono applicati in misura pari a 2/5 (due quinti)

Introduzione dell’articolo 164 bis c. 2(Cumulo delle sanzioni) In caso di violazione di più disposizioni ad eccezione di quelle di cui

all’art. 162 c. 2 ‐162 bis e 164, commesse anche in tempi diversi in relazione a banche dati di

particolare rilevanza o dimensioni si applica la sanzione amministrativa da 50.000 a 300.000 euro

Introduzione dell’articolo 164 bis c. 3(Casi di maggiore gravità) Nei casi di maggiore gravità e di maggiore rilevanza del pregiudizio per uno o più interessati, o quando la violazione coinvolge numerosi interessati, i limini minimo e massimo delle sanzioni sono applicati in misura pari al doppio

Introduzione dell’articolo 164 bis c. 4 (Casi di maggiore gravità) Le sanzioni possono essere aumentate sino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del trasgressore


42



Domande di verifica 1.3Domanda Prima risposta Seconda risposta Terza rispostaL’allegato B al Codice contiene l’elenco delle misure minime di sicurezza da adottare per i trattamenti di dati personali.

Vero.L’allegato contiene le disposizioni tecniche relative alla misure minime di sicurezza già enunciate nel Codice.

Falso. L’allegato B indica come garantire i diritti dei cittadini in ambito privacy.

Parzialmente veroL’allegato B faceva parte della precedente legge 675 sulla privacy. Oggi è in vigore il d.lgs. 231/01.

L’allegato A5 riguarda le centrali rischi private.

Vero. Questo allegato fissa le regole su come trattare i dati delle persone ed aziende registrate come cattivi (o buoni) pagatori.

Vero. L’allegato contiene anche un codice di condotta da far sottoscrivere al consumatore.

Falso. L’allegato contiene le modalità per inviare la notificazione dei trattamenti al Garante.

L’allegato A3 contiene il codice deontologico sul marketing.

Vero.Il codice deontologico fissa le regole da adottare nel trattamento di dati personali per finalità di marketing e commerciali.

Parzialmente vero. È l’allegato A4 che contiene il codice deontologico sul marketing.

Falso. Il codice deontologico sul marketing non è ancora stato emanato.


43



Risposte alle domande di verifica

Domande di verifica 1.1 e risposte corrette

DomandaIl Codice in materia di protezione dei dati personali è in vigore dal primo gennaio 2001.

Falso, il Codice in materia di protezione dei dati personali è in vigore dal primo gennaio 2004 e sostituisce la precedente legge n.675 del 1996.

Quando è stata abrogata la legge sulla privacy del 1996?

Nel 2004 dal Codice in materia di protezione dei dati personali.

La legge sulla privacy riguarda solo le persone fisiche e non le aziende.

Falso. Le norme sulla privacy si applicano sia a persone fisiche che ad aziende.


DomandaL’Autorità Garante per la protezione dei dati personali non ha reali poteri ma può semplicemente “consigliare” i comportamenti corretti.

Falso.Il Garante può infliggere sanzioni ed imporre le proprie decisioni fino al blocco dei trattamenti.

La nomina dei componenti dell’Autorità Garante per la privacy è di tipo “politica”.

Vero.I membri dell’autorità sono nominati dal Parlamento.

I cittadini, e le imprese, possono appellarsi direttamente al garante per far valere i propri diritti.

Vero.Sul sito del Garante sono disponibili anche suggerimenti e modelli per esercitare tale diritto


44



Tra gli incarichi del Garante vi sono le ispezioni nelle aziende per valutare il rispetto degli adempimenti di legge.

Vero. Ogni anno il Garante presenta pubblicamente il piano delle ispezioni previste.


DomandaL’allegato B al Codice contiene l’elenco delle misure minime di sicurezza da adottare per i trattamenti di dati personali.

Vero.L’allegato contiene le disposizioni tecniche relative alla misure minime di sicurezza già enunciate nel Codice.

L’allegato A5 riguarda le centrali rischi private.

Vero. Questo allegato fissa le regole su come trattare i dati delle persone ed aziende registrate come cattivi (o buoni) pagatori.

L’allegato A3 contiene il codice deontologico sul marketing.

Falso. Il codice deontologico sul marketing non è ancora stato emanato.


45



Fine del documento

Le successive lezioni saranno pubblicate attraverso i siti ComplianceNet51, CMa Consulting52 ed Arcobaleni19653 nelle prossime settimane.

Roma, 17 gennaio 2009

51 http://www.compliancenet.it/52 http://www.cmaconsulting.it/ 53 http://www.arcobaleni196.it


46








Sei lezioni sulla privacy - ComplianceNet€¦ · Marketing e comunicazioni commerciali: contiene...

Documents

Transcript of Sei lezioni sulla privacy - ComplianceNet€¦ · Marketing e comunicazioni commerciali: contiene...